ID-tyveri: En uoverskuelig situation, men er nye forsikringer nok?

Af Dorte Toft 7

Jeg fik et nyt tilbud fra mit forsikringsselskab Alm. Brand. Det gælder det ID-sikring. “Alm. Branc hjælper dig i en ellers uoverskuelig situation” – “Hvis nogen misbruger din identitet”.

Ugen forinden havde min bank, Danske Bank, tilbudt mig det samme, hvis jeg ville oprette en hjemforsikring.

Jeg er lidt splittet vedrørende disse tilbud. Lad mig fremlægge hvorfor, og giv mig så meget gerne din holdning.

Kraftig øget risiko

Tilbudene er særdeles relevante allerede nu, og de bliver endnu mere relevante efterhånden som f.eks. NemID misbruges og salget på nettet af hackede kreditkortdata intensiveres yderligere.

2012 resulterede desværre i en ekstrem vækst i tyverier fra netbanker. Faktisk skal man tilbage til 2009, altså før NemID blev gjort obligatorisk, før der blev stjålet lige så mange millioner kroner (over 6 mio.). I 2011 blev der kun stjålet for 160.000 kroner fra netbanker. Tallene er fra en rapport fra Finansrådet.

Endnu er det især hackede dankort-/kreditkortdata, der kan bringe et offer ud Kafkask situation, når omverdenen – lige fra RKI til banken – skal forklares, at man IKKE har købt og hævet langt over evne.

Ifølge brochuren fra Alm. Brand, der citerer Danmarks Statistik, var 133.000 danskere alene i 2011 udsat for misbrug af deres personlige oplysninger. Også tyveri af sygesikringskort, pas og kreditkort bidrager til problemets størrelse.

NemID som honningkrukke

Dog lige et par ord mere om NemID-risikoen. De kriminelle har gennemskuet og lært at omgå NemID-konstruktionen i en sådan grad, at angrebene ikke blot bliver langt hyppigere, men også mere effektive. Det dokumenterer statistikken fra Finansrådet.

Det fælles danske ID-system, NemID, er en honningkrukke for kriminelle, og der går næppe en dag før jeg (masser af andre danskere) får mails fra “Skat”, “Nets”, “PBS”, “Nordea” og lignende. Falske mails, der via argumentation og en link forsøger at lokke mig ud på et site, hvor jeg skal bekræfte mine kontooplysninger.

“Skat” lover mig penge tilbage, så man skal bare lige have mine kontooplysninger. Fra de “finansielle” afsendere handler det typisk om noget med sikkerheden, der opdateres.

Kriminel som mellemmand

Falder jeg i, altså er jeg for tillidsfuld, får jeg sikkert en gave med i købet, når jeg klikker mig ind via linken i mailen for at opdatere mine informationer.

Jeg foræres et stykke ondartet kode, der lægger sig inde på computeren, hvorved kriminelle kan overvåge, hvad der sker på computer og agere som en usynlig mellemmand mellem mig og banken. Den ondartede kode kan også komme fra f.eks. en inficeret bannerannonce på en side, man har browset rundt på.

Når den kriminelle har fået koden placeret, kan han som mellemmand stikke snablen ned direkte i min netbank og suge. Jo større beløbet er, jo større er risikoen, synes tendensen at være. Så de små fisk bliver nok taget af krogen og “smidt ud igen”.

Forholdsregler ikke nok

Selv om man altid har opdateret antivirus og øvrig software kan man være uheldig. De kriminelle kan udnytte sårbarheder, som endnu ikke er kendte hos antivirus-firmaerne, som endnu ikke er lappet hos softwareleverandøren.

Senest, i januar, var der således en alvorlig sårbarhed forbundet med Java-kode, som er en forudsætning for at bruge NemID.

Danskerne blev ladt i stikken. Skulle vi slå Java fra på vores computer, og hvordan gjorde man det? Intet entydigt svar, ingen brugsanvisning. Det bloggede jeg om her

Diffus ansvarsfordeling

Så hvem hjælper danskerne?

Bankerne holder den privatperson skadefri, hvis netkonto er blevet tømt. Sådan er praksis. Erhvervsdrivende, om bittesmå eller store, skal tegne forsikring.

Snydes med dankort/kreditkort har man normalt også en vis beskyttelse, hvis man ikke har bommet sig alvorligt.

Men. Hvem varsler entydigt, så det ikke er til at misforstå, når der er fare på fære? Ingen har ansvaret. Hver og en borger skal forholde sig, og kun de allerfærreste er klædt på til det.

Vi har en Statens Serumscentral, som varslingstjeneste, når det gælder helbred, men på den digitale side er svigtes. (Finland vil jf. en ny nationale sikkerhedspolitik sørge for en fælles informationscentral vedr. digitale trusler.)

Og hvem hjælper så danskeren, der bliver offer for IDtyveri? Det er en særdeles vanskelig sag for privatpersoner at håndtere, og flere har måttet betale en advokat dyrt for at få gjort det.

Danskerne kan nu tegne en forsikring, hvis de ikke fremover får den med i købet i hjemforsikring.

Skåret ud i pap

Tilbage til min tvetydighed. Den skyldes, at bankerne og diverse regeringer er gået sammen om at skabe en fælles ID, NemID, som giver mange lettelser for borgere, men som i vid udstrækning er indført for at spare banker og det offentlige selv for meget arbejde. Borgerne gør det for dem.

Men. Man har samtidig skabt, hvad der kaldes “single point of failure”, vel at mærke uden samtidig at bygge noget op, som giver borgerne en hjælpende hånd, hvis det går galt.

Der er nu én enkel ting, der er afgørende, hvis man vil lænse en netbank, erklære en person død, skifte kontonummer vedr. udbetalinger, melde falsk flytning etc. etc. Nemlig NemID. Men borgeren må fare fra Herodes til Pilatus for at bevise, hvad der er galt.

Tages alvorligt

Jeg tror på, at maskineriet bag NemID gør meget af, hvad de siger, nemlig hele tiden finder måder at øge sikkerheden på. Ved en tidligere serie af netbank-indbrud, som ramte Danske Bank-kunder, satte man f.eks. igen en masse varslingssystemer i aktion, lige de var som før NemID-tiden.

Men money, money, money. Det er – for både banker og det offentlige – et spørgsmål af om at afveje investeringer i NemID-sikkerhedskonstruktionen mod risici.

Sikkerhed mod betaling

For os, der ikke har fuld tillid til, at afvejningen sker med tilstrækkeligt fokus på, hvad der kan hænde for borgerne, burde der måske være en slags “forsikringsordning”.

Jeg selv betaler gerne for en særlig gadget, en netbank”nøgle”, der kun kan bruges til én enkelt ting. Som repræsenterer det ypperligste i sikkerhed, forskerne har på bordet.

Det har jeg villet i årevis, og som jeg tidligere har skrevet, ser jeg det at bruge en personlig computer som nøglen (eller for den salgs skyld en smartphone), som at bruge sin kommode som bankboks.

Hvis bankerne en dag måtte opgive at kompensere hver enkelt for penge lænsede fra netbanken og indføre selvrisiko, vil selvrisikoen ved brug af en sådan gadget skulle være langt, langt mindre.

Så nu er ordet dit. Måske er jeg så erhvervskadet grundet mange års dækning af it-sikkerhed, at jeg bare maler fanden på væggen. Eller efterlyser også du en fælles informationscentral, en dedikeret gadget eller andet?

7 kommentarer RSS

  1. Af Erik Trolle

    -

    Jeg vil fortælle om hvordan jeg selv sikre mig. Jeg er jo tvangsindlagt til at bruge NemID, selv om jeg er meget mod den måde systemet er blevet indført på og den fælles nøgle database. Den private nøgle skal være hos brugeren og vedkommende skal bestemme over sine data.

    Jeg er Linux bruger- Ubuntu og har valgt at jeg altid skal logge ind ved maskinen starter op. Den vil jeg udbygge med Yubikey fra Yobico.com. Produktet benyttes til en 2 factor autentificering som beskrevet på deres hjemmeside.

    Som bruger af Lastpass udbygger jeg den med 2 faktor autentificering. Jeg har været lidt bange for Lastpass som login manager, fordi blev min fælles password hacket var alle mine password tilgængelige for hackeren.

    Her er et interview med ejeren og stifteren af Yubico:

    http://goo.gl/SpbyC
    http://goo.gl/zRs9r

    De blev også omtalt Hardisken på DR1 sidste fredag.

    Da der er mange muligheder for integrere produktet i produkter som udvikler. For at højne sikkerheden.

    Det produkt som jeg har købt, men ikke har fået leveret endnu, er neo yubikey. http://goo.gl/0jQmm

    Det kan være at jeg er paranoid, men sådan er jeg!

  2. Af Michael Larsen

    -

    Der er en lille fejl i det du skriver, DT. Man kan ikke erklære en person død med nem-id – endnu. Kirkeministeriet arbejder dog på sagen, så det skulle blive muligt i det kommende år.

  3. Af Dorte Toft

    -

    @ Michael Larsen. Jeg korrigerer straks. Tak fordi du gjorde mig opmærksom på, at jeg havde en fejl.

  4. Af Peter Tilsted

    -

    …Men man kan blive skilt, blot med nemid

  5. Af Dorte Toft

    -

    @ Peter Tilsted. Skilt, blot med NemID? Tiderne skifter, hvis det holder. I gamle dage skulle man i det mindste have en gang bevidnet utroskab for at få øjeblikkelig skilsmisse:-)

  6. Af Benny Ammitzbøll

    -

    Ja, de vil så gerne sælge en forsikring – som måske/måske ikke dækker – fordi der jo lige med småt står et eller andet… Ærlig talt – det er svinsk. Vi skal gøre arbejdet OG bære risikoen OG stadig betale ved kasse 1 (check f.eks. forskellen på indlåns og udlånsrenten).

    Hvorfor er det mit ansvar, at deres system ikke er designet sikkert nok? Ansvaret bør være deres, ikke mit (ok, jeg skal selvfølgelig ikke bære mig alt for dumt ad). Ellers hvor er deres incitament til at forbedre sikkerheden?

  7. Af » Wake up call for Danmark, der har gjort sig alt for sårbar - Bizzen – IT & Business

    -

    [...] da forsikringsselskaber begyndte at reklamere for deres tjenester vedr. ID-tyverier, tog jeg igen et grundigt kig på [...]

Skriv kommentar

Kun fornavn og efternavn bliver vist i forbindelse med kommentaren. Dog skal alle felter med * (stjerne) udfyldes

Læs vilkår for kommentarer og debat på Berlingske Tidendes websites

RETNINGSLINJER

Berlingske ønsker at sikre, at debatten på b.dk føres i en ordentlig tone, som gør det inspirerende og udfordrende for alle at bidrage og deltage. Vi efterlyser gerne klare, skarpe, holdningsmæssige stærke indlæg med stor bredde og mangfoldighed og kritisk blik på sagen. Men vi accepterer ikke indlæg, som er åbenlyst injurierende, racistiske, personligt nedgørende. Sådanne indlæg vil fremover blive slettet. Det samme gælder indlæg, der ikke er forsynet med fuldt og korrekt navn på afsenderen, men som indeholder forkortede navne, opdigtede eller falske navne.

Vi opfordrer samtidig alle debattører til at gøre redaktionen opmærksom på indlæg, som ikke overholder disse retningslinjer.

Redaktionen

Yderligere info